Ik las vanavond dit:
Bron Security.nl: https://www.security.nl/posting/549757
Lek in LibreOffice geeft aanvaller toegang tot lokale bestanden
zaterdag 10 februari 2018, 09:39 door Redactie, 35 reacties
Laatst bijgewerkt: 10-02-2018, 11:24
Een beveiligingslek in LibreOffice kan een aanvaller op afstand toegang
tot lokale bestanden van de gebruiker geven, zo waarschuwen de
ontwikkelaars van de kantoorsoftware. Het probleem bevindt zich in de
Webservice-functie van LibreOffice Calc. Deze functie maakt het mogelijk
om via een url data in een document te laden, bijvoorbeeld van een
programmeerinterface (api).
Kwetsbare versies van LibreOffice laten Webservice lokale bestanden in
een spreadsheet injecteren, zonder de gebruiker hierbij te waarschuwen.
Andere formules in het document kunnen van die geïnjecteerde data
gebruikmaken en een remote url creëren waarbij de lokale geïnjecteerde
data aan een remote aanvaller wordt gelekt. Om de aanval uit te voeren
zou een aanvaller het slachtoffer wel eerst een kwaadaardig document
moeten laten openen.
"Het is eenvoudig om bestanden met sleutels, wachtwoorden of wat dan ook
te versturen. 100 procent succes en geheel onopgemerkt", aldus Mikhail
Klementev, één van de onderzoekers die het probleem ontdekte. Hij merkt
op dat de exploit aan bijna alle formaten die LibreOffice ondersteunt
kan worden toegevoegd. Gebruikers van LibreOffice krijgen het advies om
te updaten naar LibreOffice versie 5.4.5 of 6.0.1. Eerdere versies zijn
kwetsbaar.
Wat ik er mee moet weet ik nog niet zo precies, maar denk dat ik dan
6.0.1 maar installeer...
Jan
--
Unsubscribe instructions: E-mail to users+unsubscr...@nl.libreoffice.org
Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette
List archive: https://listarchives.libreoffice.org/nl/users/
All messages sent to this list will be publicly archived and cannot be deleted
